网站首页  词典首页

请输入您要查询的论文:

 

标题 基于业务连续性管理的应急管理体系建设研究
范文

    姜琪 李亚龙 张洁 马犇

    

    

    

    摘要:该文阐述了信息系统应急管理体系建设的必要性,并且详细分析了业务连续性管理与应急管理的关系以及应急管理体系的动态过程,在风险管理和业务连续性管理的基础上,结合国内外最佳实践标准,设计一套基于业务连续性管理的应急管理体系框架。该管理体系框架从事前(建立应急预案体系、日常技术保障、应急演练),事中(预案选择、应急响应、预案评估)、事后(现场恢复、总结改进)以及贯穿整个应急管理过程的培训出发,构建完整的网络安全事件应急管理体系,围绕安全事件的全过程管理,达到可接受的网络安全水平,从根本上保证信息系统运行的持续性。

    关键词:业务连续性管理;应急管理;应急演练;应急预案

    中图分类号:TP311? ? ? 文献标识码:A

    文章编号:1009-3044(2019)23-0042-04

    开放科学(资源服务)标识码(OSID):

    Research on the Construction of Emergency Management System Based on Business Continuity Management

    JIANG Qi, LI Ya-long, ZHANG Jie, MA Ben

    (Information Center of Anhui Seismological Bureau, Hefei 230031, China)

    Abstract: This paper expounds the necessity of building an emergency management system for information systems, and analyses in detail the relationship between business continuity management and emergency management, as well as the dynamic process of emergency management system. On the basis of risk management and business continuity management, and combining the best practice standards at home and abroad, a framework of emergency management system based on business continuity management is designed. The framework of the management system is to build a complete emergency management system of network security incidents from the aspects of pre-establishment (emergency plan system, daily technical assurance, emergency exercise), in-process (plan selection, emergency response, plan evaluation), post-event (site restoration, summary and improvement) and training throughout the whole emergency management process, and to achieve the goal around the whole process management of security incidents. The acceptable level of network security fundamentally guarantees the continuity of information system operation.

    Key word: Business Continuity Management; Emergency Management; Emergency Exercise; Emergency Plan

    1 背景

    隨着信息技术的发展,企业和组织对信息系统的依赖性越来越大,由此产生的安全问题更加突出,信息系统的重大风险和缺陷不断出现。因此建立符合企业和组织现状的网络安全事件应急管理体系,保证在网络安全事件发生的事前、事中、事后能最大限度地减少安全事件所带来的损失和影响,迅速恢复到事件发生前的业务水平,成为企业和组织急需面对的重要课题。

    本文在风险管理和业务连续性管理的基础上,结合国内外最佳实践标准,构建一套基于业务连续性管理的网络安全事件应急管理体系框架,围绕网络安全事件的全过程管理,达到可接受的网络安全水平,从根本上保证信息系统运行的持续性。

    2 应急管理体系建设必要性

    在信息安全领域中,目前常用方法是通过加密、防病毒、防火墙、入侵检测等技术手段增加信息系统自身的安全性,保障信息系统的可靠运行。但在应急管理层面的考虑仍然比较欠缺。应急管理的不足会对信息安全管理工作造成较大影响,通常表现在以下几个方面:

    首先,信息系统是复杂的人机交互系统,“机”的因素从信息系统的技术方面考虑,“人”的因素从安全制度建设、安全管理、人员安全等管理方面考虑。依据信息系统“三分技术,七分管理”的理念,信息系统管理方面的投入要高于技术方面的投入,而实际往往是在技术方面的考虑远高于管理方面,即对“机”的投入远大于“人”。

    其次,当前大多数信息系统过度依赖技术,但仅靠技术措施很难保障发生网络安全事件后能快速响应和恢复,无法在系统恢复正常运行期间保证信息系统持续正常运行。因此,单纯通过技术措施应对网络安全事件远远无法保障信息系统正常运行,应结合管理措施,建立网络安全事件应急管理体系。并结合信息系统业务流程采取必要的安全措施来减少网络安全事件所带来的损失和影响。

    现阶段,大多数组织与企业在网络安全事件应急管理工作上取得了一定的成果和发展。但从总体情况来看,缺少统一的管理协调机制及完善的应急管理体系,如:应急预案缺乏或不够完善且可操作性不佳;缺少对应急参与人员的安全意识、技能培养等教育;缺少应急物资等。因此,如何建立一套合理的网络安全事件应急管理体系,帮助企业或组织实现在有限的条件下最大程度地减少或降低网络安全事件带来的负面影响已成了一个急需解决的题。

    3 应急管理与业务连续性

    3.1 应急管理动态过程

    应急管理是对网络安全事件的全过程管理,贯穿网络安全事件事前、事中、事后三个过程,是一个围绕预防(Prevention)、准备(prepare)、响应(response)和恢复(recovery)四个阶段的动态过程。

    这四个阶段可以看作是应对突发网络安全事件的四道“防线”,预防的目的是降低突发网络安全事件发生的可能性,准备的目的是应对突发网络安全事件而提高应急能力,响应的目的是采取有效措施以限制突发网络安全事件带来的影响,恢复的目的是尽快使信息系统恢复到正常运行状态。在实际应用中这四个阶段往往是交叉的,每个阶段都是在前一阶段的基础上构建的,并且有本阶段明确的目标。因此这四个阶段的相互关联构成了突发网络安全事件的动态循环过程。

    1)预防

    预防是指预先采取预防措施尽可能地减少网络安全事件的发生,降低或减缓网络安全事件带来的损失和影响。如强化网络安全设备防护与检测能力,开展安全意识培养和教育等。

    2)准备

    准备是指为迅速有效地实施应急行动,应对可能发生的网络安全事件而预先做的各种准备工作。如:应急预案体系建立、应急技术保障、应急演练、应急设施与应急物资的准备及维护。应急准备的目标是保持网络安全事件应急救援所需的应急能力。

    3)响应

    响应是指为保护资产并尽可能控制与消除网络安全事件而采取的应急行动与处置措施,通常行动于网络安全事件发生后。如:应急技术支援、信息收集、安全事件通报等。

    4)恢复

    恢复是指将网络安全事件的影响恢复到相对安全或者系统正常运行状态,通常在网络安全事件发生后立即进行。如:系统恢复、事件评估等。

    3.2 应急管理与业务连续性管理的关系

    应急管理是针对突发网络安全事件提出的,是针对网络安全事件的全过程管理。通过建立应急保障、风险防范等必要的应对机制,应用技术与管理等手段,确保企业或组织业务持续性运行。

    业务连续性管理是一项综合管理流程,为应对业务运行中断,保障企业或组织业务的持续运行的管理过程,包括建立业务连续性组织架构、建立业务连续性计划、制订灾难恢复和应急响应计划等。其主要目标是提高风险防范能力,有效降低业务中断带来的不良影响。

    从应急管理的关注重点和目的来看,应急管理关注信息系统突发网络安全事件对企业或组织的影响,其目的是为了有效保障业务连续性,可以理解为业务连续性的管理手段和方法。业务连续性管理主要关注网络安全事件发生后,其目的如何保障业务不中断或者如何快速恢复业务。因此,应急管理是业务连续性管理的子集。

    从突发网络安全事件本身来看,首先要进行预先应急准备,当突发网络安全事件发生后及时进行应急响应,保障资源安全及受损失程度最小化,这是应急管理重点关注的部分。之后迅速恢复到事件发生前的业务水平,保障业务的连续,这是业务连续性管理重点关注的部分。

    3.3 基于业务连续性管理的应急管理建设思路

    按照业务连续性规划(BCP)项目实施的最佳国际惯例,应急管理體系建设应包括以下内容:

    1)项目启动与管理:明确应急管理体系建设项目的需求,获得管理层支持。

    2)应急能力分析评估:应急能力分析评估主要包括两部分,一部分是对企业或组织资产面临的安全风险进行评估,了解本单位安全保障措施情况以及经过安全保护后的残余风险;另一部分是针对本单位资产(保障对象)安全目标,分析评估应对残余风险所需要的应急处置能力。

    3)业务影响分析(BIA):业务影响分析是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能带来的影响,采用定量或定性分析方法来而确定应急响应的恢复目标,如关键功能恢复、恢复优先顺序等。

    4)制订应急响应策略:根据业务影响分析(BIA)中确定的应急响应的恢复目标,制定业务恢复运行的策略,以便在恢复时间目标(RTO)内快速恢复系统运行。

    5)应急预案的编制:编制应急预案是应急管理体系建设中的关键一步,应急预案需要考虑整个预案文档的体系结构,各预案之间的衔接性与一致性,需要在详细程度与灵活程度之间取得平衡。总体预案包括应急方针、政策、应急组织机构及相关应急职责,应急行动、措施和保障等基本要求和程序,综合性文件等。专项应急预案是针对具体的安全事件类别、危险源和应急保障而制定的计划或者方案,能明确指导应急参与人员进行快速恢复操作。

    应急预案制订者和维护者应根据实际情况对其内容适时进行调整和充实,以更好地满足单位实际并使其能被有效运用。

    6)意识培养和培训:为使应急预案能很好的贯彻、执行、和实施,整体提高企业或组织人员安全能力,根据企业或组织人员实际情况和需求,对应急参与人员进行应急意识培养和技术培训。实际应用中,可根据单位的需要,单独建立一个的项目,进行应急人才队伍的培训和培养。

    7)应急演练:为了检验应急预案的完整性、可操作性、应急演练人员的执行和协调能力、应急保障资源的准备情况等,提高企业或组织对网络安全事件的应急响应能力,对应急预案的演练有必要在单位定期或不定期组织,具体演练过程如下:

    ① 预先制订演练计划,在计划中说明演练的场景、流程、相关人员和资源;

    ② 演练前做好充分准备,做好培训和测试工作,尽量确保不影响实际业务,对整个演练过程应有详细的记录,并形成报告;

    ③ 演练后及时、认真总结,重新评估应急预案的实用性和单位的应急响应能力,找出薄弱环节,制订整改计划,并及时修订相关预案。

    8)应急管理体系的完善和管理:应急管理体系与管理体系相同,是一个PDCA的过程,对体系的完善和管理是一个持续不断的过程,工作内容包括:

    ① 对应急预案进行管理和维护,制订审核、批准、分发、保存等一整套管理流程,并根据演练和实际执行中的效果及时进行修订,对重要预案定级进行评审和修订,至少每年一次;

    ② 在进行成本效益分析的基础上,进行人员、技术、物资力量的补充,不断加强应急保障能力;

    ③ 建立长效的应急管理机制,将应急工作与日常运维工作有机结合,在运维岗位中明确应急工作职责,加强日常预警监测,加强日常应急意识和技术培训,加强与外联单位的沟通与合作。

    4 基于业务连续性管理的应急管理体系建设

    4.1 应急管理体系框架研究

    为解决应急管理存在的问题,在风险管理和业务连续性管理的基础上,结合国内外最佳实践标准,设计一套基于业务连续性管理的应急管理体系框架(如图2所示)。该管理体系框架以突发网络安全事件为关注核心,以保障业务连续性、最大程度减少损失为总目标,在应急管理组织结构和应急管理标准规范的基础上,从事前(建立应急预案体系、日常技术保障、应急演练),事中(预案选择、应急响应、预案评估)、事后(现场恢复、总结改进)以及贯穿整个应急管理过程的安全培训出发,构建完整的应急管理体系,达到动态的、制定化的应急管理。围绕安全事件的全过程管理,达到可接受的网络安全水平,从根本上保障信息系统运行的持续性。

    4.2 应急管理体系建设内容

    应急管理是针对突发网络安全事件提出的,是针对网络安全事件的全过程管理。为有效减少突发网络安全事件对企业或组织造成的影响,科学分析网络安全事件的起因、过程以及后果,有效利用各方面资源,并运用各种手段与方法对突发网络安全事件进行有效的应对、控制和处理的过程。应急管理体系包括三大模块(如图3所示):应急预案体系建立、应急技术保障、应急演练。

    4.2.1 应急预案体系建立

    应急预案体系是应急管理体系建设过程中的关键环节,应急预案针对企业或组织可能发生的网络安全事件制定,并为应急响应工作提供重要指导。

    通过建立自上而下的应急预案体系,可以规范应急响应各项工作,提高对事件响应的统筹管理和应急处置能力。建立完善的应急预案体系是一个长期的过程,需要规划应急预案体系建设的任务及过程,分阶段分步骤建设应急预案体系(应急预案体系构成如图4所示)。同时,要编写、测试、修订并完善预案体系运行所需的文件体系。

    4.2.2 应急技术保障

    应急技术保障的重点是提供日常的技术支持和应急响应服务,包括监测预警、安全监控、安全事件管理、安全策略管理和安全加固服务等。通过提供日常应急技术保障,减少或避免发生突发网络安全事件,或一旦发生突发网络安全事件后将损失降为最低,保障业务正常运行。

    4.2.3 应急演练

    应急演练是指在虚拟的条件下,模拟发生网络安全事件,按照应急预案的要求开展网络安全事件处置工作,是针对应急预案的合理性、协调性、可操作性等实施的预先演习,以便在发生突发网络安全事件时能实施高效响应,是有效检验企业或组织应对网络安全事件应急响应能力的重要手段。通过应急演练,可以有效检验应急预案的可用性、实用性、协调性;检验应急人员在突发网络安全事件发生时的应急和协调能力;检验应急保障资源的准备情况等。整体提高本企业或组织的整体应急能力。

    5 结束语

    本文提出的基于业务连续性管理的应急管理体系建设,主要从事前(建立应急预案体系、日常技术保障、应急演练),事中(预案选择、应急响应、预案评估)、事后(现场恢复、总结改进)以及贯穿整个应急管理过程的安全培训出发,突出对应急工作的系统化及全生命周期的控制和管理,基于安全事件全过程的管理思想,定制适合实情的应急管理体系,提供业务连续性保障,增强企业对突发事件的应急处置能力、快速反应、应急指挥能力,提升企业整体安全技术和管理水平,同时满足国家相关监管要求。

    參考文献:

    [1] 信息安全应急响应计划规范. GB/T 24363-2009[S].

    [2] 中华人民共和国互联网网络安全应急预案[Z].

    [3] 国家网络与信息安全事件应急预案. 国办函[2008]168号[Z].

    [4] 业务连续性管理 第一部分:实用规则. BS 25999-1: 2006[Z].

    [5] 业务连续性管理 第二部分:详细说明. BS 25999-2: 2007[Z].

    [6] 吕雪. 信息安全应急管理技术的研究与实现[D].广州: 广东工业大学, 2013(5).

    [7] 毛南. 商业银行信息系统应急管理体系建设研究[J]. 计算机应用容灾论坛, 2012(9).

    [8] 张磊. 业务连续性管理与应急管理之辨[J]. 金融电子化, 2011(9).

    [9] 秦挺鑫. 基于业务连续性管理视角的应急管理体系建设思考[J]. 公共安全业务连续性增刊, 2015(10).

    【通联编辑:谢媛媛】
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2024/12/23 3:20:42